Меню
Что нового?

Внешние ссылки в user generated content вредно или нет?

evshi

Новичок
Есть сайт, на котором люди размещают объявления на разные темы. При размещении объявлений в поле Описание есть возможность использовать html теги. Сделал это в основном для того, чтобы посетители могли форматировать текст (делать жирным, использовать списки и т.д.).

Некоторые посетители при размещении объявлений такое впечатление, что вставляют целые html страницы, где используется <table>, картинки с подгрузкой с внешних сайтов и т.д.

Есть ощущение, что опасно давать пользователям возможность вставлять на страницы моего сайта ссылки на картинки и другие файлы (css, js), которые подгружаются с внешних серверов.

Так ли это? Кто что думает?
 
Духовность™

Духовность™

Продвинутый новичок
Некоторые посетители при размещении объявлений такое впечатление, что вставляют целые html страницы, где используется <table>, картинки с подгрузкой с внешних сайтов и т.д.
Нажмите для раскрытия...
Да. От такого бардака не застрахован никто. Даже ЖЖ с его более-менее адекватными пользователями. ЖЖ вырезает все JS (даже из атрибутов) и часть стилей, если я правильно помню.

Есть ощущение, что опасно давать пользователям возможность вставлять на страницы моего сайта ссылки на картинки и другие файлы (css, js), которые подгружаются с внешних серверов.
Нажмите для раскрытия...
http://ru.wikipedia.org/wiki/Xss

В общем случае, ИМХО, тебя спасет fckeditor с плагином для BB-тегов. Но там по дефолту лишь тривиальное форматирование, что-то более существенное (цвета, размер шрифтов) придется самому допиливать.
 

evshi

Новичок
Духовность™ написал(а):
Да. От такого бардака не застрахован никто. Даже ЖЖ с его более-менее адекватными пользователями. ЖЖ вырезает все JS (даже из атрибутов) и часть стилей, если я правильно помню.

http://ru.wikipedia.org/wiki/Xss

В общем случае, ИМХО, тебя спасет fckeditor с плагином для BB-тегов. Но там по дефолту лишь тривиальное форматирование, что-то более существенное (цвета, размер шрифтов) придется самому допиливать.
Нажмите для раскрытия...
За ссылочку - спасибо, подозрения подтвердились.

fckeditor - им и пользуюсь (столько мусора, собака, вставляет:().Я через его конфиг оставил всего 4 кнопки (bold, два вида списков и убрать форматирование) - мне больше и не надо! Но видимо он пропускает другие теги, если их вручную набить или скопировать из буфера. А что за плагин для для BB-тегов, можно поподробнее?
 
Garret

Garret

Кто здесь?
Я думаю не много пользователей доски объявлений настолько грамотны что им нужна возможность использовать хтмл. Лучше ограничиться бб-тэгами.

Иначе посмотрите на разные типографы и парсеры, на подобии http://jevix.ru/
 
Духовность™

Духовность™

Продвинутый новичок
evshi написал(а):
А что за плагин для для BB-тегов, можно поподробнее?
Нажмите для раскрытия...
А чего подробнее? Яндекс и Гугль в помощь - плагин называется "bbcode". Ставится вроде на fckeditor, который был ДО новой версии, что сейчас вроде зовется ckeditor. Обычный плагин к редактору, позволяющий использовать визвизинг и в то же время отсылать текст в виде BB-кодов. Соответственно, при выводе информации все html-теги ты удаляешь через strip_tags, а парсер BB-кодов либо сам пишешь (по строчке кода на тег) , либо готовый используешь.

Потом, что значит "столько мусора, собака, вставляет"? По моему, fck отлично работает. Просто не надо туда целые html-страницы и word-файлы копировать.

Если редактор не найдешь - напиши, я вышлю код что у меня есть.
 
Войдите или зарегистрируйтесь для ответа.
Сверху